image

KPN heeft groep criminelen achter phishingmails in het vizier

donderdag 26 mei 2016, 15:36 door Redactie, 5 reacties

KPN heeft een groep criminelen in het vizier die in Nederland onder andere via onbeveiligde wifi-netwerken phishingmails verstuurt. Dat heeft de telecomprovider in het vandaag verschenen European Cyber Security Perspectives laten weten (pdf).

De meeste criminelen die phishingmails versturen zijn lastig op te sporen, maar KPN kwam een groep op het spoor die een aantal grote fouten maakte, waardoor de criminelen zichtbaar waren en over een langere periode konden worden gevolgd. De informatie kan mogelijk worden gebruikt om de groep te vervolgen. De zaak kwam aan het rollen nadat KPN een klacht ontving over een "over op iban" phishingsite. De phishingsite bleek op het ip-adres van een consumenten adsl-verbinding te worden gehost.

Hetzelfde ip-adres bleek echter ook de iban-phishingmails te versturen. Nadat het ip-adres was afgesloten werden dezelfde phishingmails opeens via andere ip-adressen verstuurd. Uit het onderzoek dat werd ingesteld bleek dat de criminelen op het eerste ip-adres na voor alle overige verbindingen een open en onbeveiligd wifi-netwerk gebruikten. De ip-adressen bleken allemaal naar één appartementencomplex te wijzen.

Door de locatiegegevens op een kaart te plaatsen werd duidelijk dat iemand zich in het gebied bevond die naar onbeveiligde wifi-netwerken zocht. "Hoewel wardriving al jaren niet meer is waargenomen, is de eigenaar of gebruiker van het eerste gevonden ip-adres waarschijnlijk gaan rondtrekken om zijn phishingactiviteiten voort te zetten", aldus KPN. Het onderzoek naar de phishers kreeg een hogere prioriteit, maar opeens stopten de phishingaanvallen.

Een half jaar bleef het stil, totdat er weer phishingmails via een open wifi-verbinding werden verstuurd. Dit keer waren de berichten echter van een heel andere locatie afkomstig. KPN kwam in actie en haalde de phishingsite uit de lucht en liet het wifi-netwerk beveiligen. Wederom werd het stil. De criminelen hadden besloten om geen wifi-netwerken meer te gebruiken, maar phishingmails via het mobiele internetnetwerk te versturen.

Vanwege het gebruik van network address translation (nat) binnen een mobiel netwerk veranderen aangesloten apparaten vaak van ip-adres. "De aanvallers dachten misschien dat ze een manier hadden gevonden om onopgemerkt te blijven en met hun phishingactiviteiten door te gaan", laat KPN weten. Er werd met de politie overlegd, maar er was nog niet voldoende bewijs verzameld om tot vervolging over te gaan. Daarop werd besloten met andere providers informatie uit te wisselen of die dezelfde activiteiten op hun netwerken zagen.

Inloggegevens

Daarnaast nam KPN technische maatregelen door de toegangslijsten in het netwerk te veranderen. Daardoor is het niet meer mogelijk om zonder inloggegevens binnen het mobiele netwerk elke willekeurige mailserver van de telecomprovider te gebruiken. Het monitoringssysteem kan vervolgens zien dat bepaalde inloggegevens voor het versturen van phishingmails zijn gebruikt en die blokkeren. Hierdoor zijn de criminelen nu weer op zoek naar gebruikersaccounts die toegang tot de mailservers van KPN hebben.

"Aangezien dit kat-en-muisspel blijft doorgaan, vinden we dat de samenwerking tussen de private en publieke sector voldoende heeft geholpen om de politie actie tegen de verantwoordelijke personen te laten ondernemen", zo besluit KPN.

Reacties (5)
27-05-2016, 09:13 door devias
Wat ik me dan afvraag is waarom KPN dit nu publiek maakt. Wil de politie niet reageren? Als die wel bezig zijn; waarom dit dan naar buiten brengen?
27-05-2016, 09:32 door Botros
Door devias: Wat ik me dan afvraag is waarom KPN dit nu publiek maakt. Wil de politie niet reageren? Als die wel bezig zijn; waarom dit dan naar buiten brengen?

Misschien omdat men ze wel zo dusdanig in het snotje heeft dat men hoopt dat ze in paniek gekke dingen gaan doen? Volgens mij wordt die techniek wel vaker door de Politie gebruikt om verdachten uit de tent te lokken. Dit is in de zaak van de moordbroers ook toegepast. Doordat men bewust informatie naar buiten brengt hoopt men (doormiddel van taps etc.) dat dit belastend materiaal oplevert.
27-05-2016, 09:35 door Anoniem
Je bedoelt die KPN die niet in staat is een fatsoenlijk SPF record te publiceren op KPN.COM ?
v=spf1 ?all vraagt om misbruik en levert dan ook veel van de bedrieglijk echt lijkende KPN nep facturen in de mail op van KPN-betaalafspraak@kpn.com.
27-05-2016, 20:50 door Anoniem
Door Anoniem: Je bedoelt die KPN die niet in staat is een fatsoenlijk SPF record te publiceren op KPN.COM ?
v=spf1 ?all vraagt om misbruik en levert dan ook veel van de bedrieglijk echt lijkende KPN nep facturen in de mail op van KPN-betaalafspraak@kpn.com.

Het is dan tenslotte ook heel normaal om facturen via de mail te krijgen in deze duistere moderne tijden. Hier om je geheugen op te frissen wat betreft onveilige mail: https://www.kpn.com/prive/klantenservice/veilig-internetten/valseemail.htm
30-05-2016, 13:11 door Anoniem
Door Anoniem:
Door Anoniem: Je bedoelt die KPN die niet in staat is een fatsoenlijk SPF record te publiceren op KPN.COM ?
v=spf1 ?all vraagt om misbruik en levert dan ook veel van de bedrieglijk echt lijkende KPN nep facturen in de mail op van KPN-betaalafspraak@kpn.com.

Het is dan tenslotte ook heel normaal om facturen via de mail te krijgen in deze duistere moderne tijden. Hier om je geheugen op te frissen wat betreft onveilige mail: https://www.kpn.com/prive/klantenservice/veilig-internetten/valseemail.htm

Tja maar met bovenstaand SPF record zet je wel de deur wagenwijd open om je domein te laten misbruiken. De mailtjes zijn dan ook afkomstig van gehackte webservers over de gehele wereld en dit had voorkomen kunnen worden door een fatsoelijk SPF record te zetten. Dan worden die mailtjes namelijk op voorhand al geweigerd met een SPF fail.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.